EFail nutzt bzw. missbraucht aktive E-Mail-Inhalte in HTML-E-Mails (beispielsweise externe Grafiken oder auch externe Formatierungs-Stylesheets), um einen beliebigen E-Mail-Inhalt über einen so erzeugten Rückkanal an den Angreifer senden zu lassen. Das Problem dabei ist im Grunde die Art und Weise der jeweiligen Integration von S/MIME und PGP in den E-Mail-Programmen, wodurch entschlüsselte Inhalte im Hintergrund mehr oder minder unbemerkt an den Angreifer gesendet werden können.
Der Angreifer muss auf irgendeinem Weg an (verschlüsselte) E-Mails von Ihnen gelangt sein. Denkbar ist das Mitschneiden der Datenübertragung im Netzwerk, Diebstahl aus kompromittierten E-Mail-Postfächern, von E-Mail-Servern, Backup-Systemen oder auch von beteiligten Computersystemen der einzelnen Anwender. Der Datendiebstahl kann auch schon vor langer Zeit geschehen sein.
Der Angreifer manipuliert nun die zuvor gestohlene, verschlüsselte E-Mail in bestimmter Art und Weise. Diese manipulierte E-Mail sendet er inklusive des verschlüsselten ursprünglichen Inhalts an das Opfer (also an Sie). Ihr E-Mail-Programm (Thunderbird oder auch andere) entschlüsselt den eigentlich geschützten Teil, lädt den manipulativen externen aktiven Inhalt und sendet im Hintergrund den gerade entschlüsselten Klartext-Inhalt an den Angreifer.
Wann könnten Sie also betroffen sein?
- Sie benutzen S/MIME- oder PGP-Verschlüsselung
- und der Angreifer hat Zugriff auf verschlüsselte E-Mais von Ihnen
Wie Sie sich zumindest teilweise schützen können:
- VERZICHTEN SIE NICHT AUF VERSCHLÜSSELUNG. Es ist besser, wenn Sie weiterhin sensible Daten verschlüsselt per E-Mail versenden, um diese zu schützen.
- Kontrollieren Sie die Einstellungen Ihres E-Mails-Programms und bitten Sie Ihre Kommunikationspartner (mit denen Sie verschlüsselt per E-Mail kommunizieren), dies ebenfalls zu machen.
Für Thunderbird beachten Sie folgende Anweisungen (bis Thunderbird Version 52.8.0 und 52.8.1 hoffentlich die Lücken schließen):- Lassen Sie externe Inhalte ("remote content") deaktiviert, damit diese nicht geladen werden - dies ist der Standard in Thunderbird!
- Benutzen Sie vor allem bei verschlüsselten E-Mails NICHT die Funktion "Externe Inhalte in dieser Nachricht anzeigen", womit man in der gerade angezeigten Nachricht die Inhalte nachladen lassen könnte
- Klicken Sie vor allem in verschlüsselten E-Mails möglichst NICHT auf Links oder interaktive Objekte, da auch dadurch der "Rückkanal" an den Angreifer ausgelöst werden könnte
Für die Zukunft:
Bedenken Sie, dass vergleichbare Sicherheitslücken - genau wie hier - oftmals durch die Anzeige von HTML-E-Mails und durch das Nachladen externer Inhalte möglich werden. Es ist also auch in Zukunft immer empfehlenswert in Thunderbird die Anzeige der E-Mails wenigstens auf "Vereinfachtes HTML" zu begrenzen (Menü Ansicht > Nachrichteninhalt > Vereinfachtes HTML). Dadurch werden nicht alle Sicherheitsrisiken vermieden, aber zumindest einige davon.
Enigmail zeigt in der aktuellen Version bei potentiell bedrohlichen E-Mails eine Warnung an, womit aber vermutlich nicht alle Angriffsszenarien behoben sind! Bitte aktualisieren Sie Enigmail mindestens auf Version 2.0.4 oder neuer.
Diskussion:
https://www.thunderbird-mail.de/forum/thread/79666/
EFail-Informationsseite:
Quelle: